Доступ в UI модема за Wireguard сломан

[slydiman]

После обновления 4.3.6 на 4.3.6.3 перестал работать вот этот сценарий
https://help.keenetic.com/hc/ru/articles/4403101043218-Доступ-в-веб-интерфейс-USB-модема-за-VPN-клиентом-Wireguard-туннеля

Другой роутер обновил до 5.0 Beta 3 и web UI модема тоже больше не доступен через WireGuard.

tracert 192.168.8.1 останавливается на wireguard IP роутера.
Ради интереса при попытке через wireguard открыть http://192.168.8.100 вижу 403 Forbidden.
На всякий случай (вдруг это важно) у меня модем - это резервное подключение, основное - WAN.

Модем Huawei E3372.

Хотелось бы найти обходное решение или починить это в ближайших версиях 5.x

Вариант с KeenDNS не предлагать. KeenDNS работает в связке с cloud agent, который отключен по соображениям безопасности, которые не обсуждаются. 

Заранее спасибо

Изменено 1 ноября пользователем slydiman

[Yuriy]

На виве и ультра всё работает , модем основное и единственное подключение 

Изменено 1 ноября пользователем Yuriy

[slydiman]

5 часов назад, Yuriy сказал:

На виве и ультра всё работает , модем основное и единственное подключение 

На KN-1212 работало, обновил с 4.3.6 до 4.3.6.3 - перестало.
На KN-3810 работало, обновил с 4.3.6 до 5.0 Beta 3 - перестало.
self test приложен (и скрыт)
В описании релизов 4.3.6.1 - 4.3.6.3 не видно ничего касательно роутинга или политик подключения.
Могу провести любые тесты, если потребуется.
Не исключаю что оно было настроено, но из-за каких-то косяков работало до первой перезагрузки и проблема появилась в прошивке ещё до 4.3.6. Но частичная зачистка и повторная настройка не решает проблему.

Кстати, много вопросов по окошку Port Forwarding Rule

• Баг: Кнопка Save появляется например если изменить галочку Enable rule или поменять Input, но появляющаяся кнопка Save не активна, её нельзя нажать. Чтобы её нажать нужно поменять например Protocol.
• Баг: В рамке Input есть Other destination. Почему destination? Разве это не source?
• Согласно статье нужно выбрать "Другой адрес" (Other destination) и указать 172.16.82.0/24. А почему нельзя просто сразу выбрать интерфейс WireGuard? В чём тайный смысл и в чём разница?

Изменено 1 ноября пользователем slydiman

[Le ecureuil]

Напишите в официальную поддержку, пусть они проверят этот сценарий с вами.

[slydiman]

Техподдержка сказала использовать KeenDNS и не парить мозг. При этом что все доменные настройки KeenDNS отсутствуют при отключенном cloud agent для них видимо было открытием. Я бы с удовольствием использовал возможности проксирования, ибо у меня белый IP и свои сертификаты, но увы всё завязано на cloud agent. Собственно почему бы не допилить прокси для вот таких случаев, когда запрос приходит внутри сети (через wireguard или другой подсети)?

На вопрос как бы починить именно это в техподдержке мне ответили следующее: "В будущем изучим вопрос с работой доступа к модему".
Как известно, обещанного 3 года ждут.

Кстати, вы хотя бы косметику в окне Port Forwarding Rule поправьте, что указано выше.

[slydiman]

Попробовал на одном из серверов в удаленной сети настроить nginx proxy для web UI модема, что-то типа

    server {
        server_name modem;
        listen 80;

        location / {
            proxy_pass http://192.168.8.1/;
#            proxy_set_header Host $http_host;
#            proxy_set_header X-Real-IP $remote_addr;
        }
    }

не тут то было. Получил циклический редирект.
Это уже тараканы модемов Huawei. Гугл пока не помог. Подобных вопросов на разных форумах много, все закончились ни чем.

Изменено 1 ноября пользователем slydiman

[slydiman]

Роутер с wireguard сервером обновил с 5.0 Beta 3 до 5.0.0 и всё снова заработало.

Похоже роутинг где-то зацикливался.